BVV63
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lovec Могу предложить альтернативный "экстремальный" метод . 1. Для Виндуз не выше XP и 2K3. Запускаете редактор реестра в контексте безопасности локальной системы: Код: AT <Ближайшее_Время> /Interactive RegEdit.Exe | Сейчас можно править [HKLM\Security]. Удаляете ключ [HKLM\Security\SAM\Domains\Builtin\Aliases\00000220] (предварительно экспортировав его для возможности восстановления). 2. Для всех NT-базирующихся Виндуз. Создаёте батник Код: Reg Export "HKLM\Security\SAM\Domains\Builtin\Aliases\00000220" <Reg-файл> Reg Delete /V "HKLM\Security\SAM\Domains\Builtin\Aliases\00000220" /F /VA | Шедулите задание, запускающее его, затем командой Код: SchTasks /Change /TN <Имя_задания> /Ru System | указываете, что оно должно выполняться в контексте безопасности локальной системы. Ну и запускаете задание. Или, как альтернативный вариант, эти две команды можно выполнить опять же посредством AT. После этого группа администраторов как бы существует на компе, но не отображается в графической оснастке. Через Код: она отображается, но добавить в неё также никого не получится. Добавлено: Кстати, батник можно запускать при помощи "PSExec" (из "Sysinternals Suite") с ключом -S. В этом случае "PSExec" запустит его на указанных удалённых компах в контексте локальной системы. Это позволит централизованно "нейтрализовать" группу локальных админов. Добавлено: Да, интересно также поиграться в групповой политике с "Restricted Groups". Но тут имеются непонятки. Когда добавленный в админы доменный пользователь будет логиниться, политика отработает, и он будет удалён из админов. Вот только успеет ли он получить админские привилегии или система сразу его пошлёт куда подальше? Поэкспериментируйте. | Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 08:10 19-11-2010 | Исправлено: BVV63, 08:45 19-11-2010 |
|